междоменная встроенная проверка подлинности Windows в IIS для веб-сайта ASP.NET

Question

Я создал веб-сайт INTRANET ASP.NET, для которого установлена ​​аутентификация «встроенная аутентификация Windows», и в разделе авторизации web.config я указал группы AD (домен \ имя_группы), чтобы ограничить доступ только кЧлены этих групп AD.несколько групп AD указаны в файле web.config (домен1 \ группа1, домен2 \ группа2 и т. д.).теперь это работает нормально для пользователей одного домена1 (где он размещен), но для пользователей другого домена (домен2) они получают приглашение ввести свои учетные данные Windows, и если они его вводят, то это работает, и они могут получить доступ к сайтубез каких-либо проблем.но я хотел бы избежать этого приглашения, потому что я предоставил доступ к группам обоих доменов.почему они получают это приглашение и можно ли его подавить?мне нужно что-то настроить в IIS или web.config для этого?Заранее спасибо.

Answer 1

Я полагаю, что пользователи в Domain2 могут добавить ваш сайт, размещенный в Domain1, в свой список сайтов интрасети в Internet Explorer-> Свойства обозревателя-> Безопасность-> Зона локальной интрасети. Эта зона должна автоматически войти в систему с текущим именем пользователя и паролем. Вы можете сделать это рекламной политикой.

Answer 2

Я не уверен, что вы можете сделать это - я полагаю, что пользователям за пределами размещенного домена всегда будет предлагаться ввести учетные данные с «интегрированной» безопасностью.

Возможно, вы можете использовать проверку подлинности с помощью форм для обработки нескольких доменов. Я сам иду по пути Windows Indentity Foundation (который у меня нет желания изучать), поэтому я хотел бы, чтобы кто-то сказал мне, что я ошибаюсь по этому поводу!